A segurança está em nosso DNA

Clarke Rodgers:
Bem-vindo ao podcast Executive Insights, oferecido a você pela AWS. Sou Clarke Rodgers, diretora de estratégia empresarial, e serei seu guia em uma série de conversas com líderes de segurança.

Hoje estou acompanhado por Matt Garman, CEO da Amazon Web Services. Ouça enquanto discutimos mais sobre a cultura de segurança da Amazon, como pensamos sobre investimentos em segurança e como os clientes podem aproveitar a nuvem da AWS para proteger seu ambiente. Aproveite.

Matt Garman, CEO da Amazon Web Services. Agradecemos muito pela sua participação.

Matt Garman:
Claro, com certeza. Obrigado por me receber.

Clarke Rodgers:
Então você foi o primeiro gerente de produto da AWS. Você pode me levar de volta à época e como a segurança foi reforçada como parte de seu trabalho?

Matt Garman:
Meu primeiro emprego, na verdade, foi estagiar em uma escola de negócios para a AWS antes mesmo de lançarmos em 2005. E desde o primeiro dia em que comecei, Andy Jassy nos ensinou que a segurança era prioridade zero. Foi a primeira coisa em que pensamos, não importava o que acontecesse. Então, quando pensávamos nos primórdios da AWS, pensávamos constantemente no que isso significa? Como pensamos sobre segurança? Como pensamos sobre o isolamento? Na época, em particular, havia muitas preocupações sobre confiar seus dados a outra pessoa. E acho que foi o viés certo estarmos muito focados na segurança, o viés certo para sermos mais diligentes no isolamento, no isolamento das workloads do cliente, mas também em nossa própria segurança e na forma como pensamos em acessar os dados do cliente e como pensamos em proteger os dados do cliente. E esse foi um grande foco para nós desde o início. Foi uma grande área de investimento para nós e continua assim até hoje, é claro.

E só continuamos a crescer à medida que as ameaças à segurança aumentam. Pensamos cada vez mais em como protegemos a segurança da nuvem, como nossa própria segurança, e protegemos as workloads dos clientes dessa forma, mas também fornecemos ferramentas aos clientes para que eles possam proteger suas próprias workloads nesse modelo de responsabilidade compartilhada. Então, tudo o que fazemos é a primeira coisa em que pedimos que nossos desenvolvedores pensem. É a primeira coisa que pedimos ao pessoal do nosso data center que pense sobre isso a partir da segurança física, da segurança lógica, da segurança de software, da manutenção de nossos softwares e serviços, das operações de nossos serviços. Está na frente e no centro de tudo o que fazemos.

Clarke Rodgers:
À medida que sua jornada progrediu pela AWS, especialmente agora como CEO, como você responsabilizou os líderes de negócios da AWS pela segurança de suas operações e de suas linhas de negócios reais?

Matt Garman:
Sim, olha, o número um é que é a maior vantagem, a alavanca que eu acho que temos é o foco na cultura. E o foco é garantir que os líderes saibam que a segurança é sua responsabilidade e que eles deveriam pensar sobre isso. Então, temos alguns mecanismos que usamos para impor isso e garantir que eles estejam aprendendo, porque acho que quando as pessoas vêm de outros ambientes em particular, elas não têm o mesmo preconceito e outros lugares não necessariamente começam com a segurança em primeiro lugar. Eles meio que fazem isso depois ou é problema de outra pessoa ou talvez a equipe de segurança cuide da segurança. E você está na equipe de segurança. Não confiamos em você para sua segurança. Todos são responsáveis pela segurança. Você é um excelente parceiro nessa jornada para nos ajudar a criar as melhores práticas e aprimorar a segurança.

Mas nós realmente temos que construir isso como parte da cultura. Portanto, definitivamente faz parte do aprendizado quando os líderes de engenharia entram, quando os líderes de produto entram. Eles precisam pensar nessa responsabilidade como algo que levam a sério por seus produtos. E temos vários mecanismos nos quais analisamos e tentamos incentivar os líderes a pensarem em como estão melhorando a segurança, onde pensam que seus produtos estão seguros, mas é por isso que existem cintos, suspensórios e cintos extras. Onde mais podemos encontrar maneiras de continuar melhorando? Porque nosso trabalho e a promessa que fazemos aos clientes é: “Continuamos melhorando”, certo? O cenário de segurança está ficando cada vez mais desafiador, mas os bandidos continuam se tornando mais qualificados e precisamos continuar tendo mais camadas de proteção. Encontrar mecanismos em que você possa reforçar isso com seus líderes, em que você não puna as pessoas, em que não seja uma punição por isso, mas é entender que não enviaremos um produto se ele não tiver a barra certa de segurança.

Nós nem mesmo embarcaremos em algo se não acharmos que ele tem as concepções corretas em relação a um isolamento de segurança. E a primeira vez que as pessoas recebem algo que não foi lançado porque achamos que não tem a barra certa para entregar ou porque lemos uma sugestão de oferta de novo produto e dizemos: “Não gosto de como essa arquitetura em particular pensa de uma forma que não funciona”. Essa mensagem é reforçada e acho que gera muitos comportamentos corretos.

Clarke Rodgers:
Você mencionou mecanismos. Na última temporada, tive a oportunidade de entrevistar o CISO da AWS e ele descreveu a reunião semanal do CEO e CISO. Você poderia falar um pouco sobre os benefícios que você obtém dessa reunião?

Matt Garman:
Claro. Sim, tem um casal. Uma é que essa é uma ótima oportunidade para ajudarmos a nos fortalecer com nossos líderes e, francamente, uma ótima oportunidade para eu aprender e acho que para todos nós aprendermos. Então, temos aquela reunião semanal em que analisamos. Muitas vezes... Na verdade, quase sempre são esses problemas de segurança em que analisamos os cantos em que isso poderia ter sido um problema se não o tivéssemos detectado ou, novamente, se não tivéssemos outros controles atenuantes em vigor. Mas é uma ótima oportunidade para mergulharmos e entendermos onde estão os pontos de estrangulamento que talvez tenhamos perdido, por que algo passou despercebido, onde foi que identificamos um novo tipo de preocupação que queremos transmitir a várias equipes diferentes. Por isso, fazemos isso toda semana e procuramos oportunidades em todas as equipes da AWS, onde queremos nos aprofundar um pouco mais para saber onde podemos realmente criar isso.

Acho que esse mecanismo poderoso é o número um, é uma ótima oportunidade para ensinar esses líderes a realmente pensar e se aprofundar. E temos uma série de líderes que estão nessa ligação ou na sala que mergulharão nesses problemas e entenderão o que está acontecendo. E muitas vezes debatemos de um lado para o outro sobre as vantagens e desvantagens de fazer A ou B porque, muitas vezes, esses são tipos sutis de questões em que estamos tentando decidir que não está claro: “Ah, você esqueceu de fechar um porto”, ou não é isso, certo?

Não é esse tipo de problema. São coisas mais sutis como: “Oh, isso pode acontecer ou isso pode acontecer”. Ou é um caso extremo que estamos analisando. E então há aquele mecanismo de simplesmente: “OK, ótimo. Agora que fizemos isso, como podemos conversar com as outras 50, cem equipes que podem ter um tipo de coisa semelhante e garantir que divulguemos esse aprendizado?” E também nos ajuda, como líderes, quando ouvimos na próxima semana e na próxima semana, na próxima semana, onde podemos realmente desenvolver nosso aprendizado e compreensão e pensar em outras áreas que estamos analisando. Portanto, é um lembrete super poderoso para todos nós sobre como pensamos sobre isso e, francamente, uma boa oportunidade para aprendermos uns com os outros sobre como continuamos melhorando.

Clarke Rodgers:
E isso faz da segurança um ritmo do negócio.

Matt Garman:
Isso mesmo. E acho que a outra parte importante disso é... acho que é um erro quando algumas pessoas pensam em um mecanismo como esse, pois vamos gritar com alguém por cometer um erro. E eu acho que essa é uma parte muito importante: você não quer que seja uma punição ter um problema levantado naquela reunião. De certa forma, é bom que você tenha sinalizado e encontrado, e todos nós estejamos aprendendo com isso. Então eu acho que isso também é importante porque você não quer uma cultura em que as equipes queiram esconder esse problema e dizer: “Ah, eu não quero que ninguém descubra isso porque eu não quero que ninguém grite comigo”. Então, você realmente quer incentivar uma cultura em que as pessoas tragam essas coisas à tona para que a organização em geral possa aprender com elas.

Clarke Rodgers: 
E ter certeza de que você está se concentrando no problema e não na pessoa.

Matt Garman:
Isso mesmo. Isso mesmo.

Clarke Rodgers:
Outro tipo de efeito descendente dessa reunião é que ela se divulga. Parece que o CEO tem pelo menos uma hora por semana para aprender tudo sobre segurança. Portanto, acredito que isso ajuda nossa cultura geral de segurança em toda a organização e reforça sua importância.

Matt Garman:
Pode ser. Acho que isso provavelmente é verdade.

Clarke Rodgers:
Ao analisar os próximos três a cinco anos sobre o que você quer fazer com a AWS, como a segurança e a conformidade geral, questões regulatórias, etc., como isso se encaixa em seu planejamento?

Matt Garman:
Bem, como eu disse, acho que não há sinal em nenhum lugar do mercado de que a segurança esteja se tornando menos importante, nem de que os bandidos estejam se tornando menos sofisticados. Portanto, deve ser algo em que continuemos investindo e investiremos, porque acho que é uma das coisas que francamente diferencia o que a AWS faz de todos os outros, especialmente o que você pode fazer. Mas, francamente, mesmo de outros provedores de nuvem, é realmente um recurso diferenciador para a AWS. E queremos que continue assim.

Acho que nos próximos dois anos, há uma área de superfície adicional na qual precisamos pensar em como proteger. Acho que, ao pensar em IA, há uma série de outros vetores de ataque nos quais você quer pensar e escapar de vetores e formas pelas quais a segurança... Estou otimista de que a IA é uma ferramenta, uma capacidade e uma tecnologia incrivelmente poderosas para as empresas gerarem muito valor e provavelmente também para os bandidos e para combater e ajudar a encontrar problemas de segurança. Então, acho que pode ser algo que estamos aproveitando para descobrir como podemos continuar melhorando nossas ofertas e nossa segurança subjacente. Mas também acho que é uma daquelas coisas contra as quais temos que nos proteger aumentará o volume da área de superfície.

Então eu acho que essa será uma área em que teremos que dobrar e triplicar nossos esforços, e já estamos fazendo isso. Acho que nos próximos três a cinco anos, esse definitivamente será um espaço no qual queremos pensar. E a outra coisa que eu acho importante é que, como esse espaço está se movendo rapidamente, as pessoas às vezes tenham a tentação de dizer: “Sim, provavelmente podemos passar por aqui e faremos a segurança mais tarde”.

E para mim, essa não é uma troca aceitável para nós. E quando você pensa sobre onde está o limite de isolamento correto e pensa sobre qual é o momento certo para lançar um produto ou serviço ou qualquer outra coisa, simplesmente não é um dos... Não é uma área na qual eu esteja disposto a ceder a qualquer tipo de compromisso, mas acho que provavelmente há alguma tentação de fazer isso. Então, teremos que continuar educando nossas equipes. E tenho certeza de que outras pessoas no mercado ficarão tentadas a desistir desse nível para agir rapidamente. E minha aposta é de longo prazo, essa será a escolha errada.

Clarke Rodgers:
Sim. Aparafusar a segurança na extremidade parece nunca funcionar.

Matt Garman:
Bem, existem algumas evidências no mercado no momento que são muito, muito mais caras para o provedor de nuvem e para o cliente final fazerem isso dessa maneira.

Clarke Rodgers:
Claro. Vamos mudar um pouco de assunto e falar sobre os clientes. Você se reúne com muitos CEOs de clientes. Sobre o que eles estão falando em termos de segurança, não apenas sobre o que deveriam estar fazendo, mas também sobre como a AWS os está ajudando?

Matt Garman:
Sim. Veja bem, há coisas óbvias. Acho que as pessoas estão preocupadas com apropriação indébita de contas e coisas assim. Creio que há muito que podemos fazer para continuar ajudando os clientes nesse sentido. Os clientes estão cada vez mais preocupados em perceber que um dos maiores ativos que possuem e as partes mais importantes de sua propriedade intelectual são seus dados. E assim eles pensam: como ter proteções em torno dos dados para garantir que não vazem? É a segurança sob uma ótica diferente, mas é importante quando se pensa em IAs, em analytics e nesse amplo conjunto de dados. A questão é como proteger os dados da maneira correta, tanto para as pessoas de sua própria empresa quanto para as pessoas de fora dela. E alguns desses dados são de seus próprios clientes. São informações de identificação pessoal. Talvez sejam apenas os dados corporativos proprietários que você possui e são essenciais para o que você faz.

Cada vez mais, acredito que essa é uma área de preocupação muito importante, porque se esses dados vazarem ou deixarem de ser proprietários para eles, muitos clientes perceberão que essa é uma grande parte do que os torna valiosos. Portanto, acredito que essa seja uma área interessante sobre a qual as pessoas continuarão a refletir. Acredito que exista outra perspectiva, na qual estamos ajudando os clientes, que é a forma de pensar sobre onde os dados devem residir, a soberania dos dados, a criptografia e a propriedade das chaves de criptografia. E há muitas... Algumas delas podem tornar seu sistema muito mais difícil de operar, e algumas delas fazem todo o sentido, mesmo que isso aconteça. Portanto, é um nível diferente de decisão, em que não se trata de uma decisão do tipo “um ou zero”. Não é uma decisão em que há uma resposta óbvia certa ou errada.

Mas acho que nosso trabalho é ajudar os clientes a entender como eles podem equilibrar alguns desses aspectos, como a preocupação com a soberania dos dados, com o aumento do ambiente regulatório, onde os dados não podem ou não devem sair de um país, mas como operar uma empresa global sob essas restrições? E pensando nisso, talvez seja um vizinho próximo da segurança, mas é uma espécie de controle de segurança.

Clarke Rodgers:
Claro. Portanto, proteger os dados e realmente colocá-los na nuvem pode facilitar a proteção dos dados em primeiro lugar. E esse também é um dos requisitos mais básicos que as pessoas precisam aproveitar, como IA generativa. Se seus dados não estiverem na nuvem, você não poderá usar muitas dessas incríveis ferramentas de IA generativa que existem.

Matt Garman:
É uma área super interessante, onde acho que, se eu olhar para trás, 18 anos atrás, todo mundo estava superpreocupado. Eles dizem: “Como posso confiar na nuvem? Como posso ser mais... A nuvem é segura? Estou em um ambiente multilocatário que parece assustador”. E agora eu diria que a grande maioria dos clientes mudou de ideia e realmente percebeu que eles estão mais seguros na nuvem. Temos mais capacidades. Gastamos bilhões de dólares construindo segurança nesse espaço. Eles não fazem isso em seus data centers.

Clarke Rodgers:
Correto.

Matt Garman:
E isso é uma grande diferença. Foi uma grande mudança. Então, acho que ainda há muito trabalho para muitos clientes fazerem essa migração e modernização e chegarem onde quiserem na nuvem. Na verdade, a maioria dos clientes, se seus dados estão no local, são menos seguros, certo? Eles são mais suscetíveis a hackers e outros ataques e coisas desse tipo. E eles não podem tirar proveito de muitas das melhores e mais interessantes tecnologias relacionadas à IA generativa, aos dados e analytics, aos novos recursos de computação e armazenamento e outras coisas do tipo que estamos lançando. Eles estão meio que presos ao legado, à infraestrutura e à tecnologia.

Clarke Rodgers:
Sob essa perspectiva, você está tendo mais conversas sobre migração e modernização com os clientes?

Matt Garman:
Sim. É um grande obstáculo para o crescimento do negócio. E acho que cada vez mais os clientes percebem isso e só querem ir mais rápido. Portanto, é parte do motivo pelo qual investimos em coisas como a transformação Q, que ajuda a modernizar alguns desses tipos de armazenamentos de dados legados, como mainframe, VMware ou qualquer outra coisa, e ajuda a migrar para a nuvem mais rapidamente.

Clarke Rodgers:
E seguro.

Matt Garman:
Acho que é um grande problema. Portanto, migrar para a nuvem e entrar em um mundo de nuvem ajuda na segurança. Sair do Windows ajuda na segurança. Entrar em uma arquitetura mais moderna ajuda na segurança. Essas são medidas importantes que as pessoas sabem que são riscos hoje em dia. E acho que está ajudando a estimular as pessoas a se moverem mais rapidamente.

Clarke Rodgers:
Você tem algum conselho para os CEOs dos clientes com quem você interage sobre quais são os tipos de perguntas que eles deveriam fazer às equipes de segurança?

Matt Garman:
Há uma série de coisas. Acho que, em primeiro lugar, ao escolher um provedor de nuvem, como você pensa sobre a história da segurança e qual tem sido o histórico? E como você sabe que as coisas para as quais você está se mudando têm a barra certa? E é realmente essa cultura de garantir que cada novo produto, cada nova oferta e cada coisa nova comecem com uma base de pensar na segurança dos clientes. E então eu acho que também do ponto de vista do cliente, é como você está construindo a cultura?

Porque é verdade, é esse modelo compartilhado. E essa é uma parte muito importante de trabalharmos juntos. E trabalhamos com todos os nossos maiores clientes para garantir que eles tenham a arquitetura certa, que tenham a configuração correta, que pensem em como você pensa sobre uma conta raiz versus suas permissões de conta e como eles pensam sobre suas permissões de IAM e como pensam em criptografar seus dados e proteger suas chaves de conta e coisas assim. E que os clientes também precisam fazer essa peça. Então, CEOs, eu recomendaria que eles tivessem um processo semelhante a esse, que é aquele sobre o qual falamos, aquela segurança semanal, apenas promovendo a melhor prática de que há partes da segurança na AWS nas quais você pode absolutamente confiar, e essa é nossa responsabilidade.

Matt Garman:
E você não precisa se preocupar. Há muitas partes com as quais você simplesmente não precisa se preocupar. Você não precisa se preocupar com a segurança do data center. Você não precisa se preocupar com nenhuma dessas coisas. Você não precisa se preocupar com a segurança do hipervisor, todos esses tipos de peças que são nossas, nós temos. Mas há muitos deles no espaço de aplicativos com os quais as empresas precisam se preocupar. E, para isso, é igualmente importante que eles tenham um tipo de mecanismo semelhante ao qual o CISO esteja examinando todas as semanas e destacando onde eles acham que podem elevar o nível de segurança de seus aplicativos. E, a propósito, adoraríamos ser parceiros como parte disso.

Clarke Rodgers:
Claro.

Clarke Rodgers:
Que conselho você daria aos CISOs dos clientes sobre como reportar riscos à liderança? Então, como você gostaria de ter o risco enquadrado a você do ponto de vista da segurança?

Matt Garman:
Sim. Acredito que a coisa número um e mais importante é escalar rapidamente e ser transparente. Se houver um risco real na empresa, guardar uma má notícia nunca é a resposta certa. Então, eu gostaria de saber que nosso CISO, Chris, se há um problema que eu precise saber, ele me avisa imediatamente, e duas horas depois não está bom. Preciso saber sobre isso o mais rápido possível para que possamos atrair todas as pessoas certas. E eu encorajaria isso, pois uma das coisas que eu recomendaria é que a velocidade é muito importante quando se trata de, especialmente quando há algum tipo de problema urgente de segurança. E, portanto, mover-se rápido é realmente importante. Puxar as pessoas para uma sala e meio que puxar a ponta de um cabo e garantir que você largue tudo e não se preocupe, seja enviar mensagens para seus clientes, sejam ações que você precisa realizar, se há outras coisas, isso é incrivelmente importante e a velocidade de movimentação é incrivelmente importante nessa frente.

O outro é apenas... Além disso, para questões menos urgentes, onde elas são importantes, mas não necessariamente urgentes, acho que garantir que você construa essa cultura de não jogar as pessoas debaixo do ônibus e não culpar a pessoa, mas realmente se concentrar nesse problema e se preocupar...

Clarke Rodgers:
Voltando a esse problema.

Matt Garman:
Acho que é uma diferença sutil, mas ela realmente muda a transparência de suas equipes e o quanto elas enterram os problemas versus os levantam. A empresa e o negócio não melhorarão se você não puder ser transparente e aprender com coisas que não correram bem. E a segurança é difícil. E, a propósito, todo mundo está descobrindo coisas novas todos os dias. E, portanto, é um espaço difícil. É um espaço que se move rapidamente. Você precisa aprender e estar disposto a aprender, o que significa que nem tudo vai ser perfeito, e você só precisa aprender com isso, melhorar e tentar descobrir como fazer mitigações e como toda a sua equipe pode melhorar. Mas você não vai conseguir isso se não incentivar essa transparência. Então, acho que essas são algumas coisas nas quais eu encorajaria todos a pensar.

Clarke Rodgers:
Conselhos fantásticos. Matt, muito obrigado por sua participação.

Matt Garman:
Sim, claro. Obrigado por me receber.

Ouça agora

Ouça agora

Ouça agora